La compañía de ciberseguridad Sophos ha publicado Pacific Rim, un informe donde desgranan las operaciones de defensa y contraataque realizadas por la empresa durante los últimos cinco años contra múltiples adversarios de estados-nación interconectados con sede en China. Los objetivos de estos grupos eran los dispositivos perimetrales, entre los que se encuentran los firewalls de Sophos.
Los cibermalos usaron en estas incursiones una serie de campañas con nuevos exploits y malware personalizado para integrar herramientas de vigilancia, sabotaje y ciberespionaje, así como tácticas, herramientas y procedimientos (TTP) que se solapaban con conocidos grupos de estados-nación chinos, como Volt Typhoon, APT31 y APT41. Los agresores atacaron infraestructuras críticas y objetivos gubernamentales, tanto grandes como pequeños, situados principalmente en el sur y sudeste de Asia, incluidos proveedores de energía nuclear, el aeropuerto de una capital nacional, un hospital militar, el aparato de seguridad de Estado y ministerios.
Constante evolución
La operación Pacific Rim ha sido ejecutada por Sophos X-Ops, unidad de ciberseguridad e inteligencia de amenazas que ha trabajado para neutralizar los movimientos de los adversarios, y para ello han tenido que evolucionar continuamente las defensas y contraofensivas. En cuanto Sophos respondió con con éxito a los primeros ataques, los adversarios intensificaron sus esfuerzos y contrataron a operadores más experimentados. Eso se supo cuando se puso al descubierto el gran ecosistema de ciberterroristas.
Sophos ya había hecho públicos algunos detalles desde el año 2020 sobre campañas vinculadas, entre ellas Cloud Snooper y Asnarök, ahora se comparte el análisis general de la investigación con el propósito de concienciar sobre la proliferación de los adversarios de los estados-nación chinos y su hiperenfoque para comprometer dispositivos perimetrales, sin parches y al final de su vida útil (EOL), a menudo mediante exploits zero-day que están siendo creados para esos dispositivos.
Esta experiencia ilustra la necesidad de las instituciones de aplicar de manera urgente parches para las vulnerabilidades descubiertas en cualquiera de sus dispositivos conectados a Internet y a migrar cualquier dispositivo antiguo no compatible a los modelos actuales.
Balance del informe
El 4 de diciembre de 2018, un ordenador con pocos privilegios conectado a una pantalla de proyección empezó a escanear la red de Sophos en la sede de Cyberoam en India, una empresa adquirida por Sophos en 2014. Sophos encontró en el ordenador un payload (o carga maliciosa) que monitorizaba silenciosamente el tráfico especializado entrante de Internet y que contenía un novedoso tipo de puerta trasera y un complejo rootkit: Cloud Snooper.
Otro caso más. En abril de 2020, después de que varias instituciones alertaran de una interfaz de usuario que apuntaba a un dominio con Sophos en su nombre, se colaboró con las fuerzas de seguridad europeas, que pudieron confiscar el servidor que los cibermalos usaron para desplegar los payloads maliciosos, ataque que fue denominado Asnarök. El ataque, atribuido a China, fue neutralizado con oleadas planificadas de ataques de botnet.
Tras Asnarök, Sophos decidió diseñar un programa adicional de rastreo de actores de amenazas enfocado en identificar e interrumpir a los adversarios. Los ciberdelincuentes perseguían explotar los dispositivos de Sophos desplegados en entornos de clientes. El programa se elaboró utilizando una combinación de inteligencia de código abierto, análisis web, monitorización de telemetría e implantes de kernel dirigidos, desplegados en los dispositivos de investigación de los agresores.
Estas medidas espolearon a los atacantes, que intensificaron su nivel de insistencia, mejoraron sus tácticas y desplegaron malware cada vez más sigiloso. Pero se pudo contrarrestar, gracias al programa de rastreo de actores de amenazas y a las capacidades aumentadas de recopilación de telemetría. Esto permitió adelantarse a varios ataques y conseguir una copia de un bootkit UEFI y de exploits personalizados antes de un amplio despliegue.
Sophos constató que algunos de los ataques procedían de un ciberadversario vinculado con China y con el Instituto de Investigación Double Helix de Sichuan Silence Information Technology, en la región de Chengdu del país.
Durante las operaciones, Sophos pudo comprobar que hay que desconfiar de los “chivatazos”. En marzo de 2022, un investigador de seguridad anónimo avisó de una vulnerabilidad de ejecución remota de código zero-day, llamada CVE-2022-1040. Los análisis determinaron que el informante podría haber tenido una conexión con los adversarios.
Consejos
Todos los dispositivos conectados a internet están en el punto de mira de los adversarios de los estados-nación, sobre todo los que están en red con infraestructuras críticas. Las instituciones deben reforzar su seguridad mediante distintas tácticas:
Reducir al mínimo los servicios y dispositivos conectados a Internet cuando que sea posible.
Privilegiar la aplicación de parches con urgencia para los dispositivos conectados a internet y su posterior supervisión.
Habilitar actualizaciones para dispositivos edge y aplicarlas de forma automática.
Colaborar con las fuerzas de seguridad, los partners público-privados y el Gobierno para compartir y actuar sobre los IoC (indicadores de riesgo) relevantes.
Diseñar un plan para abordar la manera en el que la organización se ocupa de los dispositivos EOL.